Des effets limités de l’apostasie en droit de la protection des données
Par une décision du 2 février 2024, le Conseil d’État estime que la CNIL n’a pas commis d’erreur d’appréciation en clôturant une plainte en refus de donner suite à l’exercice des droits d’opposition au traitement et d’effacement des données inscrites sur le registre des baptêmes de l’association diocésaine d’Angers. La mention de l’apostasie en marge du registre satisfait au droit d’opposition quand le droit à l’effacement ne serait pas applicable. L’arrêt questionne tant quant à la solution retenue qu’au regard du raisonnement mis en œuvre.
1. Les vagues de reniement de certaines religions, et en particulier de la foi catholique, n’ont pas manqué de provoquer le débat sur leurs effets juridiques. Parce que les fidèles sont souvent recensés en tant que membres d’une communauté religieuse, le droit de la protection des données a naturellement vocation à s’y appliquer. Par un arrêt du Conseil d’État du 2 février 2024, la Haute juridiction administrative vient à son tour apporter une réponse sur le fondement du droit d’opposition et du droit à l’effacement du premier sacrement. Elle ne peut convaincre.
2. Au cas d’espèce, le baptême de M. B. a donné lieu à inscription sur le registre des baptêmes de son état civil, de sa filiation et de ses coordonnées. Le 15 février 2020, il a saisi la Commission nationale informatique et libertés (CNIL) d’une plainte consécutive au refus de l’association diocésaine d’Angers de faire droit à sa de demande d’accès aux données le concernant dans les registres de baptême ainsi qu’à l’exercice de ses droits à l’effacement et d’opposition au traitement de ses données. Cette plainte a été clôturée par une décision du 2 décembre 2021. M. B. a saisi le Conseil d’État d’un recours en excès de pouvoir aux fins d’obtenir l’annulation de ladite décision et qu’il soit enjoint à la CNIL d’ordonner ledit effacement.
3. L’existence d’un traitement de données, même en l’absence de moyen automatisé, n’était pas douteuse ni contestée. L’automatisation n’est pas une condition d’existence d’un traitement (RGPD, art. 4.2) dès lors qu’il est réalisé au moyen d’un fichier lequel doit correspondre à un « un ensemble structuré de données à caractère personnel, accessible selon des critères déterminés, que cet ensemble soit centralisé, décentralisé ou réparti de manière fonctionnelle ou géographique » (RGPD, art. 4.6). Nul doute qu’un registre de baptême constitue un tel fichier (comp., pour un traitement non automatisé de données collectées à l’occasion d’activités de prédication, CJUE, gr. ch., 10 juill. 2018, Jehovan todistajat, aff. C-25/17, pts 52 s., Dalloz actualité, 25 juill. 2018, obs. N. Nalepa ; AJDA 2018. 2280, chron. P. Bonneville, E. Broussy, H. Cassagnabère et C. Gänser 
; D. 2018. 1493 ; ibid. 2019. 1673, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2018. 698, obs. R. Perray et J. Uzan-Naulin ; RTD eur. 2019. 393, obs. F. Benoît-Rohmer ).
4. Le Conseil d’État concentre son attention sur l’exercice des droits de la personne concernée. Avant d’exercer son contrôle, il en rappelle les termes. La CNIL dispose, dans l’exercice de ses missions en lien avec le traitement d’une plainte (RGPD, art. 57.1, a, f et h ; loi « informatique et libertés », art. 8, I, 2°), « d’un large pouvoir d’appréciation et peut tenir compte de la gravité des manquements allégués au regard de la législation ou de la réglementation qu’elle est chargée de faire appliquer, du sérieux des indices relatifs à ces faits, de la date à laquelle ils ont été commis, du contexte dans lequel ils l’ont été et, plus généralement, de l’ensemble des intérêts généraux dont elle a la charge ». Toutefois, l’exercice de ce pouvoir est « sous l’entier contrôle du juge de l’excès de pouvoir » lorsqu’est en cause l’exercice des droits de la personne concernée par le traitement, quand le principe est celui du contrôle de l’erreur manifeste d’appréciation (v. déjà, CE, ass., 24 févr. 2017, n° 391000, Dalloz actualité, 28 févr. 2017, obs. M.-C. de Montecler ; Lebon ; AJDA 2017. 436 ; ibid. 740 , chron. G. Odinet et S. Roussel ; D. 2017. 500, obs. M.-C. de Montecler ; ibid. 2018. 1033, obs. B. Fauvarque-Cosson et W. Maxwell ; Dalloz IP/IT 2017. 479, obs. O. Henrard ; Légipresse 2017. 122 et les obs. ; RFDA 2017. 535, concl. A. Bretonneau ; RTD eur. 2017. 803, obs. A. Bouveresse ; rappr., CJUE 7 déc. 2023, SCHUFA Holding, aff. C-26/22 et C-64/22, pt 69, D. 2023. 2240 ).
5. La mise en œuvre d’un contrôle approfondi n’en a pas moins conduit le Conseil d’État à confirmer une solution discutable. Elle l’est tout autant sur le fond que par le raisonnement mis en œuvre.
Les droits limités de l’apostat à la protection de ses données
6. Le Conseil d’État relève qu’il avait été satisfait au droit d’accès de la personne concernée. Demeuraient dans le débat l’exercice des droits à l’effacement et d’opposition. Les deux sont liés de telle sorte que les effets limités du droit d’opposition pourraient paradoxalement s’expliquer par l’éviction du droit à l’effacement.
L’effet limité du droit d’opposition
7. Aux termes de l’article 21.1 du RGPD, « la personne concernée a le droit de s’opposer à tout moment, pour des raisons tenant à sa situation particulière, à un traitement des données à caractère personnel la concernant » fondé sur l’intérêt légitime du responsable de traitement (RGPD, art. 6.1, f). Dans sa décision, la CNIL avait estimé suffisante pour y satisfaire l’apposition d’une mention selon laquelle M. B. ne reconnaissait pas la valeur de son baptême. Et le Conseil d’État de ne relever aucune erreur de droit ou d’appréciation, quoi qu’il n’ait pas manqué de prendre une certaine distance en considérant que le droit d’opposition « pouvait être satisfait » par ladite mention qui, au premier abord, satisfait uniquement au principe d’exactitude (v. en ce sens, CNIL, Rapp. annuel 1993, p. 43, évoquant le respect des dispositions de la loi « informatique et libertés » alors applicable, et plus particulièrement de son art. 36 relatif au droit de rectification, par l’apposition d’une telle mention relative à un fait dont la réalité historique n’était pas contestée).
8. Ce faisant, le Conseil d’État confirme qu’il peut être donné moins d’effet au droit d’opposition que n’en prévoit la lettre du RGPD. Elle lui prête les effets du droit à la limitation (RGPD, art. 4.3 et 18), ce qui tend à priver le premier de son effet utile. Ce droit vise à rétablir un rapport de droit équilibré entre la personne concernée et le responsable de traitement lorsque ce dernier n’a pas justifié a priori des nécessités du traitement qu’il a entrepris unilatéralement (O. Tambou, Manuel de droit européen de la protection des données à caractère personnel, Bruylant, 2020, p. 207, n° 236).
Aux termes de l’article 21.1 du RGPD, l’exercice du droit d’opposition a pour effet que « le responsable de traitement ne traite plus les données à caractère personnel (nous soulignons), à moins qu’il ne démontre qu’il existe des motifs légitimes et impérieux pour le traitement qui prévalent sur les intérêts et les droits et libertés de la personne concernée ». Cette exception n’est pas explicitement invoquée dans le développement dédié au droit d’opposition, sauf à l’extrapoler de la référence à la « la nature du registre des baptêmes tenu par l’Église catholique ». Et elle ne saurait avoir joué sans priver d’effet le droit d’opposition.
9. Le droit d’opposition devant recevoir effet au cas d’espèce, il aurait dû obliger le responsable du traitement à cesser de traiter les données de la personne concernée (RGPD, art. 21.1), sans que la licéité des opérations antérieures de traitement ne soit nécessairement remise en cause. La formulation de l’article 21.1 du RGPD requiert encore que les données objet du droit d’opposition soient effacées lorsqu’il n’existe pas d’autre finalité ou base juridique pour justifier leur conservation ou archivage qui sont indubitablement des opérations de traitement (RGPD, art. 4.2 et 89). Pourtant, le Conseil d’État ne s’oppose pas à leur conservation, non sans lien avec le quitus donné à l’inapplication du droit à l’effacement.
L’éviction du droit à l’effacement
10. Le Conseil d’État confirme les conclusions de la CNIL : aucun des motifs d’effacement prévus par l’article 17 du RGPD « ne trouve à s’appliquer ». À défaut de pertinence pour ceux tenant à une obligation légale (RGPD, art. 17.1, e) ou à une collecte dans le cadre de l’offre de services de la société de l’information à des personnes concernées mineures (RGPD, art. 17.1, f), ce sont les quatre premiers motifs d’effacement de l’article 17 sur lesquels le Conseil d’État se prononce.
11. Pour le plus simple, et de façon opportune, le retrait du consentement (RGPD, art. 17.1, b) n’est pas applicable dès lors que le traitement en cause ne repose pas sur une telle base juridique (RGPD, art. 6.1, a, et 9.2, a).
12. Le motif tiré de la disparition de la nécessité des données au regard des finalités pour lesquelles elles ont collectées (RGPD, art. 17.1, a) n’est pas plus utile aux yeux de la Haute juridiction administrative. Le Conseil d’État juge que la conservation des données concernant l’apostat « durant une période ne s’achevant qu’après le décès de la personne concernée est nécessaire au regard des finalités du traitement ». Il s’agit de conserver la trace d’une entrée dans la communauté chrétienne par le baptême, lequel ne peut qu’être unique pour le cas où l’intéressé souhaiterait ultérieurement réintégrer la communauté ou se marier.
Une erreur d’appréciation nous paraît ici constituée, en particulier parce que la conservation excède la durée de vie de la personne concernée, lequel ne saurait bénéficier de sacrement ou d’une réintégration dans la communauté chrétienne au-delà de sa mort. Par ailleurs, il existe des moyens moins attentatoires d’atteindre les finalités du traitement : délivrer à l’apostat un extrait du registre de baptême avant son effacement, qui fasse état de sa renonciation, mais qu’il pourra produire en vue d’une réintégration dans la communauté.
À retenir une nécessité, une erreur de droit aurait dû être relevée dès lors que la conclusion du Conseil d’État procède d’une appréciation globale de la demande d’effacement. La lettre de l’article 17 ne l’impose pas (v. pour un traitement différencié des données au terme de l’exercice du droit à l’effacement, délib. de la formation restreinte de la CNIL n° SAN-2020-008 du 18 nov. 2020, pt 131). Un examen par catégorie de données eut été possible. Le droit au déréférencement confirme sa géométrie variable. Il permet d’obtenir de l’exploitant d’un moteur de recherche la suppression d’un résultat de recherche affiché à partir de l’entrée du nom de la personne concernée, indépendamment du maintien de la page référencée parmi les résultats obtenus par l’entrée d’autres mots-clés (CJUE, gr. ch., 13 mai 2014, Google Spain, aff. C-131/12, pts 62 s., Dalloz actualité, 21 mai 2014, obs. L. Constantin ; AJDA 2014. 1147, chron. M. Aubert, E. Broussy et H. Cassagnabère ; D. 2014. 1476 , note V.-L. Benabou et J. Rochfeld ; ibid. 1481, note N. Martial-Braz et J. Rochfeld ; ibid. 2317, obs. J. Larrieu, C. Le Stanc et P. Tréfigny ; AJCT 2014. 502, obs. O. Tambou ; Légipresse 2014. 330 et les obs. ; JAC 2014, n° 15, p. 6, obs. E. Scaramozzino ; Constitutions 2014. 218, chron. D. de Bellescize ; Rev. crit. DIP 2022. 287, étude U. Kohl ; RTD eur. 2014. 283, édito. J.-P. Jacqué ; ibid. 879, étude B. Hardy ; ibid. 2016. 249, étude O. Tambou ; Rev. UE 2016. 597, étude R. Perray ). En outre, l’appréciation de la condition de nécessité doit être examinée conjointement avec le principe de minimisation des données (CJUE 11 déc. 2019, Asociaţia de Proprietari bloc M5A-ScaraA, aff. C-708/18, pt 48, D. 2019. 2409 ; ibid. 2020. 1262, obs. W. Maxwell et C. Zolynski ; Dalloz IP/IT 2020. 262, obs. C. Galichet ) lequel implique un examen et un traitement différencié des catégories de données (comp., s’agissant des mesures qui peuvent être requises lorsqu’un juge ordonne la production d’un document contenant des données à caractère personnel dans le cadre d’une procédure civile, CJUE 2 mars 2023, Norra Stockholm Bygg, aff. C-268/21, pts 54 à 58, D. 2023. 503 ; Dalloz IP/IT 2023. 142, obs. M. Triboulet ). Les données relatives à la filiation et aux coordonnées ne sont manifestement pas nécessaires aux finalités poursuivies.
13. La licéité du traitement, dont les motifs de l’arrêt ne permettent pas de vérifier si elle a été démontrée par son responsable comme le prescrit le principe de responsabilité (RGPD, art. 5.2), est fondée sur l’article 9.2, d, du RGPD, ce qui exclut le recours à l’article 17.1, d, du RGPD. Le premier de ces textes permet de faire exception à l’interdiction de principe du traitement des catégories particulières de données, dont celles qui révèlent les convictions religieuses (RGPD, art. 9.1). Il doit s’agir d’un traitement « effectué, dans le cadre de leurs activités légitimes et moyennant les garanties appropriées, par une fondation, une association ou tout autre organisme à but non lucratif et poursuivant une finalité […] religieuse […], à condition que ledit traitement se rapporte exclusivement aux membres ou aux anciens membres dudit organisme […] et que les données à caractère personnel ne soient pas communiquées en dehors de cet organisme sans le consentement des personnes concernées ». Les garanties appropriées tiennent à ce que le registre n’est pas dématérialisé, qu’il est conservé dans un lieu clos et d’accès restreint à la personne concernée, aux ministres du culte et aux personnes œuvrant sous leur autorité pour le suivi du parcours religieux et l’établissement ultérieur d’actes dans l’administration du culte. Les anciens membres sont bien visés comme susceptible de faire l’objet d’un traitement, mais pour des activités légitimes. L’intérêt de l’Église n’y suffit pas, d’autant plus qu’il peut être aussi bien servi par des moyens moins attentatoires.
Quoi qu’il en soit, le Conseil d’État a manqué de vérifier la base juridique requise sur le fondement de l’article 6, et plus particulièrement celle tirée de l’article 6.1, f, du RGPD (v. sur la nécessité pour un traitement portant, not., sur des catégories particulières de données, de satisfaire aussi bien aux exigences de l’art. 9 que de l’art. 6 RGPD, CJUE 21 déc. 2023, Krankenversicherung Nordrhein, aff. C-667/21, pts 72 à 74, D. 2024. 9 ) ainsi que l’éventuelle prévalence des intérêts ou des libertés et droits fondamentaux de la personne concernée. Ce dernier point est loin d’être acquis (v. infra).
En revanche, et parce que la notion de licéité ne s’étend pas au-delà des articles 5.1, a, et 7 à 11 du RGPD (CJUE 4 mai 2023, Bundesrepublik Deutschland, aff. C-60/22, pts 55 à 58, D. 2023. 951 ), la personne concernée n’aurait pas pu se prévaloir, au soutien de sa demande d’effacement, d’une violation des principes autres que celui de licéité et consacrés par l’article 5.1 du RGPD.
14. Reste le motif d’effacement consécutif à l’exercice du droit d’opposition tiré de l’article 21.1 du RGPD. Prévu par l’article 17.1, d, du RGPD, il ne peut s’appliquer en présence d’un « motif légitime impérieux pour le traitement ». Le Conseil d’État considère comme tel « l’intérêt qui s’attache, pour l’Église catholique, à la conservation des données personnelles relatives au baptême figurant dans le registre », en d’autres termes au respect de la doctrine du baptême unique.
Tout d’abord, l’affirmation manque de cohérence. Le motif légitime impérieux est un obstacle comparable à l’exercice utile du droit d’opposition, mais dont la Haute juridiction administrative ne dit mot sur le fondement de l’article 21.1 du RGPD. Comment le même motif peut-il faire obstacle à l’exercice d’un droit de la personne concernée sans faire obstacle à l’exercice d’un autre, qui en est le préalable ?
Ensuite, compte tenu du principe de responsabilité (RGPD, art. 5.2), c’est au responsable de traitement de rapporter la preuve de l’existence d’un motive légitime impérieux. Si l’association diocésaine d’Angers a bien été représentée devant le Conseil d’État, il ne ressort pas clairement des motifs qu’elle a rapporté cette preuve, à défaut de quoi il aurait dû être fait droit à la demande d’effacement (CJUE 7 déc. 2023, SCHUFA Holding, préc., pt 112 ; comp., ayant approuvé le raisonnement de la cour d’appel énonçant qu’en matière politique, philosophique ou religieuse, le seul exercice de la faculté, pour la personne concernée, de s’opposer au traitement de données nominatives légitime son opposition au traitement, Crim. 28 sept. 2004, n° 03-86.604 P, D. 2004. 3038 ; AJ pénal 2004. 447, obs. C. S. Enderlin ).
Enfin, la notion de « motif légitime impérieux » n’est pas claire. Il pourrait être relevé que la Cour de justice en laisse l’appréciation aux juridictions nationales (CJUE 7 déc.2023, SCHUFA Holding, préc., pt 112), sans pour autant renoncer à tout contrôle. Cette exception est placée au même plan que l’exercice ou la défense de droit en justice (rappr. RGPD, art. 21.1), protégée par l’article 47 de la Charte des droits fondamentaux notamment. Surtout, considérant que sont en cause des catégories particulières de données dont le traitement est en principe interdit, l’existence d’un motif légitime impérieux ne devrait-elle pas être plus difficilement admise ? Ou bien l’interprétation stricte de l’exception de traitement de ces données doit elle se reporter sur la mise en balance avec les droits et libertés de la personne concernée ?
La réponse pourrait découler de l’interrogation que suscite l’impériosité requise. Elle suppose un commandement absolu, que reprend la version allemande. Mais elle est exprimée en termes plus feutrés dans d’autres versions linguistiques du texte. La version anglaise requiert la présence d’« overriding legitimate grounds » tandis que la version espagnole exige que « no prevalezcan otros motivos légítimos » (rappr., la version italienne qui requiert un « motivo legittimo prevalente »). Malgré cette lettre variable, l’adjectif « impérieux » nous paraît mieux correspondre à l’esprit du texte. Le droit à l’effacement, pris comme conséquence du droit d’opposition, est le moyen de mettre un terme à une atteinte subie au droit à la protection de ses données, parce que décidée unilatéralement par son auteur. Il permet de réintégrer la personne concernée dans l’équation, et de remettre l’ingérence dans un droit fondamental au centre du raisonnement. Une simple prévalence du motif légitime du responsable de traitement ne saurait suffire, sauf se confondre avec l’examen de la base juridique du traitement tirée de l’article 6.1, f, du RGPD. Son impériosité est d’autant plus nécessaire lorsque sont en cause des catégories particulières de données.
À cet égard, la mise balance réalisée par le Conseil d’État, pour démontrer la prévalence du motif légitime impérieux sur les intérêts et les droits et libertés de la personne concernée est trompeuse. Elle n’identifie pas de motif légitime impérieux mais déplace le débat en mettant l’emphase sur l’existence de risques réduits pour les droits et libertés des personnes concernées à raison de l’accès restreint aux registres, quoique la référence à un « lieu clos » s’agissant de données sensibles laisse songeur quant à la sécurité des données et qu’il manque une référence au secret professionnel des ministres du culte.
La cohérence du droit de la protection des données
15. L’arrêt commenté soulève deux difficultés quant à la cohérence de la protection des données. Celle de la cohérence interne, lorsque le Conseil d’État écarte le grief tiré de ce que la CNIL se serait liée à une décision rendue par une juridiction judiciaire. Celle de la cohérence européenne à comparer la solution commentée avec, notamment, celle rendue par l’autorité belge de protection des données.
La cohérence du droit interne de la protection des données
16. À propos du droit à l’effacement, il était reproché à la CNIL d’avoir fait état, dans sa décision, d’une jurisprudence du juge judiciaire antérieure à l’entrée en vigueur du RGPD. Ce grief est écarté au motif que la commission s’est fondée sur les seules dispositions du RGPD et ne saurait dès lors « être regardée comme s’étant estimée liée par [ladite décision] ».
17. Quoique l’arrêt commenté n’apporte pas plus de précision, la jurisprudence judiciaire en cause est certainement l’arrêt rendu par la première chambre civile de la Cour de cassation le 19 novembre 2014 (n° 13-25.156 P, Dalloz actualité, 1er déc. 2014, obs. R. Mésa ; D. 2015. 850 , note F. Dieu ; RTD civ. 2015. 101, obs. J. Hauser ). Y était également en cause une demande d’effacement de la mention d’un baptême après que la personne concernée, un boulanger, avait obtenu l’apposition de la mention du reniement de son baptême. La Cour de cassation rejette le pourvoi considérant que la cour d’appel « a décidé, à bon droit, qu’il n’y a pas lieu d’ordonner l’effacement de sa mention du registre » au motif que « le baptême constituait un fait dont la réalité historique ne pouvait être contestée ». Le pourvoi étant fondé sur l’article 8 de la loi « informatique et libertés », la portée de l’arrêt est incertaine. Le motif n’est approprié que sur le fondement du droit de rectification (RGPD, art. 16), pour justifier l’exactitude de la mention. Il n’est pas cohérent avec le droit d’opposition, même au regard du texte alors applicable.
18. La question de la cohérence se pose dès lors que le Conseil d’État suggère que l’autorité administrative indépendante ne saurait se considérer liée par la jurisprudence, spécialement judiciaire. Formellement, l’affirmation est exacte, parce que les décisions du juge judiciaire n’ont qu’une autorité relative de chose jugée (C. civ., art. 1355) et que, plus largement, celui-ci ne saurait se prononcer par voie de disposition générale ou règlementaire (C. civ., art. 5). Matériellement, la CNIL ne peut ignorer la jurisprudence nationale. La jurisprudence administrative ne peut l’être, à l’évidence, puisque le Conseil d’État est le juge du recours contre les décisions de la CNIL (CJA, art. R. 311-1, 4°). Il en va de même de la jurisprudence européenne. Mais il doit en aller de même pour la jurisprudence judiciaire, doté d’un rôle concurrent (RGPD, art. 79) qui devrait se développer à la faveur du contentieux indemnitaire sur le fondement de l’article 82 du RGPD. Le droit de la protection des données, dont la CNIL doit veiller au respect, n’est pas seulement textuel. Ici, comme ailleurs, la jurisprudence l’enrichit et forme le droit vivant.
19. D’ores et déjà, il convient de se féliciter de la pratique qui est celle de la CNIL de faire référence à la jurisprudence, européenne comme nationale, administrative comme judiciaire pour motiver en droit ses décisions. Au cas d’espèce, la référence à l’arrêt de la Cour de cassation n’était pas pleinement pertinente, malgré la convergence de solution. Il ne serait pas inutile que cette prise en considération s’étende également aux décisions prises dans d’autres États membres pour mieux traduire la cohérence de la protection accordée par le RGPD à l’échelle de l’Union.
La cohérence européenne de la protection des données
20. La comparaison de la solution retenue dans l’arrêt commenté avec celles retenues dans d’autres États membres ne manque pas de questionner. De ce travail, doivent d’emblée être écartées les décisions rendues dans des systèmes où les registres paroissiaux tiennent lieu de registre public (v. pour un refus d’effacement d’une mention sur un registre de baptême tenant lieu d’archive public et tenu dans l’intérêt public par l’Église, Cour administrative slovénienne, 2 juin 2020), cette différence de contexte étant déterminante de la solution à apporter.
21. Restent deux solutions contradictoires et récentes retenues par les autorités de contrôles irlandaises et belges. Le Data Protection Commissioner a confirmé, par une décision du 27 février 2023, que le droit à l’effacement ne pouvait trouver à s’appliquer (Data protection Commissioner, 27 févr. 2023, Archbishop of Dublin, IN-19-7-6, nos 687 s., et, spécialement sur le fondement de l’article 17.1, c, du RGPD, qu’il existe un motif légitime impérieux pour l’Église de tenir un registre permanent des baptêmes à raison de l’importance du batême dans la foi catholique, de sa nécessité pour l’accès aux autres sacrements, de la place centrale du registre qui les recense dans l’administration de l’Église et des intérêts de cette dernière que protègent les droits fondamentaux, pt 750).
22. L’autorité belge de protection de données a statué en sens opposé dans une décision du 19 décembre 2023, frappée d’un recours (Autorité de protection des données, 19 déc. 2023, DOS-2021-01986). C’est sur le fondement de l’article 17.1, c et d, du RGPD qu’il a été fait droit à la demande d’effacement. Tout d’abord, l’autorité de protection des données considère qu’il n’est pas de motif légitime impérieux tiré de la prévention de l’usurpation d’identité autour du baptême de nature à faire obstacle à l’effacement. Ensuite, elle considère illicite la conservation des données postérieure au reniement de la religion catholique à raison de la prévalence des intérêts du plaignant sur les intérêts légitimes au fondement du traitement soit, en d’autres termes, pour défaut de base licite. L’idée est que les registres de baptême ne sauraient constituer des archives privées à défaut de répondre à un intérêt général qui seul peut justifier, en l’absence d’obligation légale, une conservation à vie des données de personnes ayant exprimé leur volonté de n’être plus liée au responsable de traitement.
23. Considérant de telles divergences de vues, il n’aurait pas été inutile de saisir la Cour de justice d’une question préjudicielle, ne serait-ce que sur l’interprétation à donner à l’article 17.1, c, du RGPD. Il est tout aussi regrettable que l’autorité de contrôle n’ait pas perçu ou pris en considération cette divergence de vue à l’échelle européenne pour en saisir la juridiction compétente (RGPD, art. 58.5) et l’inciter à poser une question préjudicielle (comp., en matière de transfert de données, CJUE, gr. ch., 6 oct. 2015, Schrems I, aff. C-362/14, pt 65, AJDA 2015. 2257, chron. E. Broussy, H. Cassagnabère et C. Gänser ; D. 2016. 111 , note B. Haftel ; ibid. 88, point de vue C. Castets-Renard ; ibid. 2025, obs. L. d’Avout et S. Bollée ; AJ pénal 2015. 601, obs. E. Daoud ; Dalloz IP/IT 2016. 26, étude C. Théard-Jallu, J.-M. Job et S. Mintz ; JAC 2015, n° 29, p. 11, obs. E. Scaramozzino ; JT 2015, n° 180, p. 14, obs. E. Scaramozzino ; Rev. crit. DIP 2022. 287, étude U. Kohl ; RTD eur. 2015. 786, obs. M. Benlolo Carabot ; ibid. 2017. 361, obs. F. Benoît-Rohmer ; ibid. 365, obs. F. Benoît-Rohmer ), quoi que le fondement pour ce faire en droit français lui manque.
Quant aux mécanismes de cohérence prévus par les articles 63 et suivants du RGPD, ils n’abordent pas les divergences de fond dans les décisions adoptées par les autorités de contrôle qui sont dépourvues d’effets dans plusieurs États membres. C’est un défaut que rend d’autant plus visible la centralisation et publication de résumés des décisions des autorités de contrôle (V. le site du Comité européen de la protection des données ou encore le site gdprhub.eu) et auquel la proposition de règlement établissant des règles de procédure supplémentaires relatives à l’application du RGPD n’offre aucun remède (COM(2023) 348 final).
24. En guise de conclusion, ne faut-il pas regretter que le Conseil d’État ait si peu fait de cas des délais de conservation des données traitées, à telle enseigne qu’il confirme, en creux, la possibilité de constituer des archives privées sur les opinions religieuses d’une partie de la population ? 120 ans à compter du baptême, puis versement aux archives historiques du diocèse. Il s’agit vraisemblablement d’une erreur manifeste d’appréciation de la CNIL qui n’a pas épuisé les missions que lui attribuent les articles 57.1, a, du RGPD et 8, I, 2°, de la loi « informatique et libertés » : contrôler l’application et veiller au respect du droit de la protection des données (comp. CJUE 16 nov. 2023, Ligue des droits humains, aff. C-333/22, pts 45 s., D. 2023. 2046 ). Elle découle de délais de conservation qui mettent manifestement en cause deux principes du RGPD. Le principe de limitation des finalités du traitement (RGPD, art. 5.1, b), à défaut pour l’Église d’être chargée d’assurer, dans l’intérêt général, la tenue d’archives historiques de la population, qui plus est s’agissant de données sensibles. Ces missions sont celles des archives publiques. Et, corolairement, le principe de limitation de la durée de conservation (RGPD, art. 5.1, e) car les finalités poursuivis de l’Église, conserver la trace du baptême en vue d’autres sacrements ou de la réintégration de la personne concernée dans la communauté, ne justifient plus le traitement à compter du décès de cette dernière.
© Lefebvre Dalloz